若手弁護士の情報法ブログ

某都市圏で開業している若手弁護士が日々の業務やニュースで感じたこと、業務において役に立つ書籍の紹介等を記していきます。情報法・パーソナルデータ関係の投稿が多いです。

プライバシーポリシーの戦略的な活用の仕方を考えてみる

個人情報 弁護士業務 情報法 企業法務
プライバシーポリシーの作成は労多くして利益少ない?

 中小企業を含め、多くの企業がプライバシーポリシー(「個人情報保護指針」「個人情報取扱指針」等の名称が使われることもあります)を作成し、主にホームページ上で公表していると思われます。

私もクライアント企業からの要請でプライバシーポリシーの作成をしたことが何度かあります。

しかし、率直なところ、企業においてプライバシーポリシーの作成は、労力がかかる割に成果が見えづらい作業ではないでしょうか。個人情報保護法が求める規律(利用目的の定め、保有個人データに関する事項の定め等)を遵守し、不備や漏れがない内容のものを作成するには、相当な時間や労力がかかります。ただ、それだけ苦労して完成させたとしても、実際にユーザーがどこまでそれを見ているのかというと疑問でしょう。

プライバシーポリシーはどの企業でも似たり寄ったりの内容であり、しかもしっかりしたものであるほど長文となりがちであり、多くのユーザーは読まないか、読むとしても斜め読みをしてその内容に関心を持つことは少ないでしょう(ちなみに私自身がユーザーとなっている場合もそうです・・・)。プライバシーポリシーではなく利用規約の場合ですが、サービスを利用する前に利用規約を読んでいるのはユーザーの15%に過ぎないという調査結果もあるようです*1

 しっかりしたものを作るには相当な労力がかかるにもかかわらず、ユーザーの大多数は関心を持たないということだと、プライバシーポリシーを一生懸命作成するモチベーションやインセンティブに乏しくなりがちです。もちろん、個人情報保護法に違反しないため、そしてごく一部の意識の高いユーザーからのクレームにも耐えられるように、しっかりしたものを作ることは当然必要なのですが、「ペナルティやクレームを避けるため」という後ろ向きの動機ではやはりしんどいでしょう。

 

そこで、プライバシーポリシーを何とか魅力ある、そして企業の価値向上につなげることができないか、他の企業の事例も参考にして考えてみたいと思います。

 

ユーザー自身がパーソナルデータを管理する時代に

 ここ最近の報道や文献を見ていると、パーソナルデータに関して、本来の主体であるユーザーに管理やコントロール権限を戻そうという潮流が起きていると感じます。外国では、来年施行予定のEUのGDPR(一般データ保護規則)に、データポータビリティの権利が明記されています*2

また、日本でも、自身の購買履歴や病歴といったパーソナルデータを一元管理する「情報銀行」の構想について本格的な議論が始まっています。

ニュース解説 - 政府が本腰、「情報銀行」って何だ:ITpro

これまでは、ユーザーが無自覚なまま(「同意」をしたという建前はとっていたものの)自身のパーソナルデータが安易に企業に提供され、企業はそれをマーケティングに活用したり他社に提供する等して大きな利益を得るというものでした。しかし、そのような現状については、疑問や不満の声が強くなっております。将来的には、ユーザーが自身のパーソナルデータ をどこに提供するか否か、主体的に判断・選別できるという仕組みが出来上がっていくように思います。そのような未来を見据えた場合、企業側としては、パーソナルデータの取扱いに関して十分な配慮をしているということを積極的にアピールする必要があるでしょう。「消費者の信頼を勝ち得た企業のみが、これまでのような推察ではない、消費者に関する誤りのない詳細なデータを手に入れることできるはずだ」という指摘があります*3

 

これを踏まえて考えると、プライバシーポリシーは単に企業側の免責の文書という位置づけに終わらせるのではなく、より積極的に、ユーザーに安心感・信頼感を持ってもらうための一種の広報として活用することが重要になってくるはずです。

そのためには、ユーザーフレンドリーで分かりやすい内容にする必要があるでしょう。

第1に、 ビジュアルを用いることです。プライバシーポリシーは文書で構成されており長文となりがちなので、ユーザーにとっては読むのも苦痛なはずです。そこで、オリジナルのプライバシーポリシーは維持しつつ、それとは別にユーザー用にパーソナルデータの取扱いに関する自社の方針や姿勢を説明する項目を設けることが考えられます。その項目には、文字だけではなく、ビジュアルを使って視覚的に分かりやすいように工夫すべきです。

この点、例えばヤフージャパンは、プライバシーポリシーとは別に、「プライバシーガイド」というページを設け、そこにはどのようなデータが対象となるのか等についてふんだんにビジュアルを用いた分かりやすい説明がされており、参考になります。

Yahoo! JAPANプライバシーガイド

 

 第2に、ユーザーが疑問や不安に思う点をFAQやQ&Aの形でまとめておくことです。プライバシーポリシーに書かれている文章はどうしても一般のユーザーにとっては分かりづらく、自身が知りたいところ(どのようなデータが対象となるのか、どのような場合に第三者提供されるのか、保存期間はどの程度か等)を見つけ出すのは容易ではありません。そこで、プライバシーポリシーとは別に、多くのユーザーが疑問に思う点をまとめたページを用意しておけば、ユーザーにとっては便利でしょう。

 例えば、アメリカの携帯電話事業者であるベライゾンが提供する「ベライゾン・セレクト」というプログラムの紹介ページでは、FAQが分かりやすい形でまとめられています。

Verizon Selects FAQs | Verizon Wireless

 

 まとめ

 

従前はパーソナルデータの適切な管理というと、どうしてもコスト的なイメージが強かったように思います。しかし、上記で述べた世の中の動きからすれば、単なるコストではなく、企業価値を高めユーザーに選ばれるための投資という意識が重要になってくるでしょう。そのような視点でプライバシーポリシーを工夫して活用することが大事です。

*1:雨宮美季・片岡玄一・橋詰卓司「良いウェブサービスを支える『利用規約』の作り方」(技術評論社)19頁。

*2:

EUデータ保護規則(GDPR)―データ主体の権利⑥:データ携行の権利(Data Portability) – Information Law 情報法参照

*3:城田真琴「パーソナルデータの衝撃」(ダイヤモンド社)268頁